受管理的服務帳戶與虛擬帳戶概念
重要網路應用程式 (例如 Exchange 和 IIS) 的其中一項安全性挑戰,就是選取適當類型的帳戶以供應用程式使用。
在本機電腦上,系統管理員可以設定應用程式以 Local Service、Network Service 或 Local System 身分執行。這些服務帳戶十分容易設定和使用,但通常在多個應用程式和服務間共用,而且不能在網域層級上進行管理。
如果您設定應用程式使用網域帳戶,則可以區隔出應用程式的權限,但是需要手動管理密碼,或是建立用來管理這些密碼的自訂解決方案。許多 SQL Server 和 IIS 應用程式都使用這個策略來增強安全性,但此策略需要額外的管理成本,也較複雜。
在這些部署中,服務系統管理員花相當多的時間進行維護工作 (例如,管理進行 Kerberos 驗證所需的服務密碼和服務主要名稱 (SPN))。此外,這些維護工作可能會干擾服務。
Windows Server 2008 R2 及 Windows 7 中有兩種新的帳戶類型 - 受管理的服務帳戶和虛擬帳戶主要用於提供已隔離出自己的帳戶之重要應用程式 (例如 SQL Server 或 IIS),同時讓系統管理員不需手動管理這些帳戶的 SPN 和認證。
Windows Server 2008 R2 及 Windows 7 中的受管理的服務帳戶是受管理的網域帳戶,可提供下列功能以簡化服務管理作業:
- 自動密碼管理。
- 簡化的 SPN 管理,包括將管理功能委派給其他系統管理員。其他自動 SPN 管理可在 Windows Server 2008 R2 網域功能等級使用。如需詳細資訊,請參閱本文件中的<使用受管理的服務帳戶與虛擬帳戶的需求>。
Windows Server 2008 R2 及 Windows 7 中的虛擬帳戶是「受管理的本機帳戶」,可提供下列功能以簡化服務管理作業:
- 不需要密碼管理。
- 在網域環境中使用電腦識別存取網路的能力。
沒有留言:
張貼留言